Sempre meno SMS: ecco come Google sta cambiando l'autenticazione a due fattori

5 months ago 84

Lo scorso anno Google ha spinto molto sull'utilizzo delle passkey, il metodo di autenticazione che consente di utilizzare il riconoscimento biometrico del proprio dispositivo, ma ora il gigante della ricerca sta compiendo un passaggio successivo (sapete come creare una passkey?). 

Come annunciato sul blog di Workspace, Google infatti sta semplificando il processo di configurazione dell'autenticazione a due fattori (2FA). 

In passato, quando attivavate l'autenticazione a due fattori per l'account Google vi veniva proposta come prima opzione la possibilità di abilitare il numero di telefono. 

Questo consentiva l'utilizzo di un SMS per autenticarsi, ma la soluzione non è molto sicura. Adesso quindi la GrandeG sta cambiando le cose.

Ora potete aggiungere un metodo di verifica in due passaggi come un'app di autenticazione (per esempio Google Authenticator) o una chiave di sicurezza prima di attivare l'autenticazione a due fattori. 

Questo dovrebbe rendere più sicuro attivare l'autenticazione a due fattori, in quanto consente di evitare di utilizzare la verifica SMS, che è meno sicura.

Ma soprattutto è particolarmente utile per le organizzazioni che utilizzano Google Authenticator o altre app TOTP, one-time password, equivalenti.

Google offre due opzioni per collegare una chiave di sicurezza, ovvero registrando una credenziale FIDO1 sulla chiave hardware o assegnando una passkey. In questo secondo caso, viene registrata una credenziale FIDO2 e verrà richiesto agli utenti di utilizzare il PIN della chiave per la verifica locale.

Se si dispone di un account Workspace collegato a un'organizzazione e si desidera utilizzare una passkey, è comunque necessario accedere con una password, a seconda delle impostazioni dell'organizzazione.

Google dichiara che se un utente che ha registrato l'autenticazione a due fattori la disattiva dalle impostazioni del proprio account, la verifica in due passaggi registrata (come i codici di backup, Google Authenticator o la passkey) non viene automaticamente rimossa dal proprio account. Perché ciò avvenga, devono essere prima rimosse le verifiche in due passaggi.

La novità è in via di distribuzione da ieri per tutti gli utenti di Workspace e per le persone con account Google personali, e dovrebbe richiedere da 1 a 3 giorni per la sua visibilità. 

Read Entire Article